Fonksiyonel Güvenlik (FS), hatalı ve kesintiye uğramış işlevsellikten kaynaklanan tehlikelere karşı sistemi koruma anlamına gelmektedir. Uluslararası alanda farklı endüstrilerde gereksinim, tasarım, operasyon, modifikasyonlar ve devreden çıkartman aşamalarında sürekliliğin sağlanabilmesi amacıyla fonksiyonel güvenlik standartları kullanılmaktadır.
Proses endüstrisinde proseslerin doğası gereği var olan tehlike öncelikle tasarım ile sınırlandırılmaya çalışılır. Doğru tasarıma ek olarak temel proses kontrol sistemleri ve alarmlar ile değişkenlikleri kabul edilebilir limitler içerisinde tutarak üretim süreçlerini verimli ve güvenli şekilde işletmeye çalışırız. Temel proses kontrol sisteminin yetersiz kaldığı durumlarda ise fonksiyonel güvenlik kapsamında kurgulanan güvenlik enstrumanlı sistemler prosesimizi büyük kazalardan koruma görevi üstlenirler.
Fonksiyonel güvenlik çalışmaları ile proses tehlike analizleri ile belirlenen risk seviyesi yüksek senaryolar için doğru yatırımın planlanması ve planlanana uygun şekilde kurulumların yapılarak proseslerin işletilmesi hedeflenir.
Proses endüstrisinde fonksiyonel güvenlik çalışmaları IEC 61511 standardında belirtilen aşamalar ile gerçekleştirilir. Yaşam döngüsü analiz, tasarım – mühendislik, devreye alma, operasyon – modifikasyonlar ve devreden çıkartma fazlarını içerir. Analiz fazı proses tehlike analizleri ile belirlenen güvenlik fonksiyonları ile bu fonksiyonlara ait ihtiyaç duyulan güvenilirlik verisinin belirlenmesi çalışmalarını içerir. Analiz fazı tasarım – mühendislik ve kurulum fazlarında hata yapılmaması adına Güvenlik Gereksinimleri Şartnamesinin (Safety Requirement Specification – SRS) hazırlanması ile son bulur.
Koruma Katmanları Analizi - LOPA
Proses Güvenliği kapsamında gerçekleştirilen proses tehlike analizleri tehlikelerin belirlenmesi, risklerin değerlendirilerek analiz edilmesi ve yönetilmesi ile sürdürülmektedir. Proses tehlikelerinin belirlenmesi HAZOP çalışması gibi teknikler kullanılarak gerçekleştirilebilir. Ancak konu yatırımların planlanmasına geldiğinde tehlike belirleme araçları kullanılarak oluşturulan güvenlik enstrümanlı fonksiyonların (safety intrumented function – SIF) güvenilirlik gereksinimlerinin belirlenmesi gerekmektedir.
Bu noktada IEC 61508 ve IEC 61511 standartları Fonksiyonel Güvenlik kapsamında bizlere güvenlik bütünlük seviyesini belirleme şansı vermektedir. IEC 61511: part 3 ‘e göre gerekli güvenlik bütünlük seviyesini belirleme gereksinimleri aşağıdaki metotlar ile belirlenebilir.
- ALARP metodu
- Risk Grafiği metodu
- Risk Matris metodu
- Hata Ağacı Analizi (Fault Tree Analysis – FTA)
- Koruma Katmanları Analizi (Layers of Protection Analysis – LOPA)
Proses Güvenliği projelerinde uzmanlar tarafından en çok önerilen ve uygulanabilirliği en yüksek olan metot “Koruma Katmanları Analizi“(Layers of Protection Analysis – LOPA) yaklaşımıdır. Yaklaşım HAZOP Çalışması gibi tehlike belirleme tekniklerinden beslenerek risk seviyesi yüksek senaryolar için mevcut operasyonda ihtiyaç duyulan güvenlik bütünlük seviyesini (Safety Integrity Level – SIL) belirlememize yardımcı olur.
Tablo 1: Güvenlik Bütünlük Seviyeleri
Güvenlik Bütünlük Seviyesi ( SIL ) |
Yüksek Talep Modu (tehlikeli arıza / saat ) | Düşük Talep Modu (talep anında hata yapma ihtimali) |
SIL 4 |
≥10-9 _< 10-8 |
≥10-5_< 10-4 |
SIL 3 |
≥10-8_< 10-7 |
≥10-4_< 10-3 |
SIL 2 |
≥10-7 _< 10-6 |
≥10-3 _< 10-2 |
SIL 1 | ≥10-6 _< 10-5 |
≥10-2_< 10-1 |
LOPA yaklaşımı “Kimyasal Proses Güvenliği Merkezi” (CCPS- Center for Chemical Process Safety) tarafından 1990 ların sonlarında geliştirilmiş ve ilk kitabı 2001 yılında yayınlamıştır. Genel itibariyle risk tahmin yöntemi olarak bilinmektedir.
“Kimyasal Proses Güvenliği Merkezi” (CCPS- Center for Chemical Process Safety) LOPA yaklaşımı için üç adet kitap yayınlamıştır;
- Layer of Protection Analysis: Simplified Process Risk Assessment, 2001
- Guidelines for Enabling Conditions and Conditional Modifiers in Layers of Protection Analysis, 2013
- Guidelines for Initiating Events and Independent Protection Layers in Layer of Protection Analysis, 2015
LOPA yaklaşımında belirlenen senaryolar için “Güvenli, ne kadar güvenli?” sorusuna cevap aranır. Senaryonun gerçekleşebilmesi için temel proses kontrol sistemi, alarm ve operatör müdahalesi, basınç tahliye sistemleri, yangın ve gaz algılama sistemleri gibi önleyici ve sınırlandırıcı bariyerlerin yeterliliği analiz edilir.
LOPA yaklaşımında analiz edilecek her senaryo ülke mevzuatı veya kuruluş yönetim sistemlerinde belirlenen hedef değerlere göre gerçekleştirilen bir fark analizi ile tamamlanır.
LOPA Yaklaşımının Avantajları
- Detaylandırılan sorulara rasyonel, yarı-kantitatif ve risk temelli cevaplar verilmesini sağlar.
- Yoruma dayalı değildir, referanslı sayısal değerler ile doğru sonuç alınmasını sağlar.
- Proses Güvenliği Yönetim Sistemi içerisinde belirlenmiş sistematikte işletildiğinde tutarlılığı yüksek bir yaklaşımdır.
- HAZOP Çalışmasında olduğu gibi iyi kurulacak bir ekip ile kuruluş güvenlik kültürüne olumlu etkisi olur.
LOPA Yaklaşımda Bilinmesi Gereken Kavramlar
LOPA Çalışması proses tehlike analizlerinde oluşturulan senaryoların sayısal olarak analiz edilmesi için kullanılan bir tekniktir. Teknik başlatıcı olay, etkinleştirici şart ve koşullu modifiye edicilerin değerlendirilmesi ile yatıştırılmamış olay frekansının hesaplanması ile başlar. Sonrasında koruma katmanlarının bağımsızlıkları değerlendirilerek mevcut sistemler ile yatıştırılan olay frekansı hesaplanır. Belirlenen yatıştırılmış olay frekansının hedeflenen değer ile karşılaştırılması ile sonuçlanır. Teknik içerisinde yer alan kavramların açıklamaları tabloda verilmiştir.
Tablo 2: LOPA Yaklaşımda Bilinmesi Gereken Kavramlar
Terim | Açıklama |
Başlatıcı Olay | Senaryoyu istenmeyen sonuca götüren olay |
Etkinleştirici Şart | Doğrudan senaryonun değerlendirilmesine neden olmayan, ancak senaryonun bir başlatıcı olaya ilerleyebilmesi için mevcut veya aktif olması gereken bir işletim aşaması veya koşulu |
Koşullu Modifiye Edici | Etkinleştirici şart sonrasında ortaya çıkan veya sonucu etkinleştirici koşulu tetikleyen durum |
Bariyer | Başlatıcı olay ve sonrasında yaşanacak olaylar dizisini engelleyen veya sonuçlarını hafifleten; ekipman, sistem veya eylem |
Bağımsız Koruma Katmanı | Senaryoyu başlatan olaya veya senaryoyla ilişkili herhangi bir diğer koruma katmanının eylemine bağımlı olmaksızın, senaryonun istenmeyen sonuca ilerlemesini önleyebilen cihaz, sistem veya eylem. Bağımsız koruma katmanının performansı başlatıcı olaydan ve diğer koruma katmanlarının hatalarından etkilenmez. IPL (Bağımsız Koruma Katmanı – Independent Protection Layer) için yedi temel unsur vardır, bunlar; · Bağımsızlık · İşlevsellik · Bütünlük · Güvenilirlik · Denetlenebilirlik · Erişim Güvenliği · Değişimin Yönetimi (MoC) |
Proses Kontrol Sistemi | Prosesten ve / veya operatör müdahalesinden gelen giriş sinyallerine yanıt verir, çıkış sinyallerini oluşturur ve prosesin istenen şekilde çalışmasını sağlar. Normal üretim limitleri içerisinde prosesi otomatik olarak düzenleyen; sensörlerin, mantıksal çözücülerin ve son kontrol elemanlarının birleşiminden oluşur. Proses Kontrol Sistemi ayrıca tasarım aşamasında belirlenmiş alarmları üreterek operatör müdahalelerini başlatan süreci de içerir. |
Basınç Tahliye Sistemleri | Bulundukları ekipmanda oluşacak basınç artışını kontrol vanası arızası sonucu besleme miktarındaki artış gibi kök sebeplere dayalı senaryolar ile önceden belirlenmiş değere geldiğinde tahliye edecek sistemlerdir. |
Güvenlik Enstrümanlı Fonksiyonu (SIF) | Anormal bir durumu tespit eden, süreci insan müdahalesi olmadan güvenli bir duruma getiren veya güvenlik için eğitilmiş bir operatör müdahalesi başlatan ve belirli bir güvenlik bütünlük seviyesine (SIL) sahip olan sensörler, mantıksal çözümleyiciler ve son elemanların birleşimidir. |
Güvenlik Bütünlük Seviyesi (SIL) | Güvenlik enstrümanlı fonksiyonun (SIF) performans kriterini ve talep durumunda işlevini yerine getirmekte başarısız olan güvenlik enstrümanlı fonksiyonun (SIF) , hata olasılığını tanımlar. |
Güvenlik Enstrumanlı Sistem (SIS) | Bir veya daha fazla güvenlik enstrümanlı fonksiyonu (SIF) gerçekleştiren sensörlerin, mantıksal çözümleyicilerin ve son elemanların birleşimidir. |
Talep Üzerine Arıza Olasılığı (PFD) | Bir sistemin talep üzerine belirli bir işlemi yerine getirememe ihtimali |
LOPA Çalışmasında Kırmızı Kartlar
LOPA çalışması IEC 61511 standardında belirtilen tüm SIL gereksinimi belirleme yöntemlerinde olduğu gibi kendine ait kurallar içerir. CCPS tarafından yayınlanan kitaplarda belirtilen kurallar ve saha uygulamaları incelendiğinde özellikle dikkat edilmesi gereken noktalar aşağıdaki gibidir;
- Koşullu modifiye edici veya etkinleştirici şartlarda kullanılan küçük sayılar
- Kuruluş içi prosedür/talimat eksikliği
- Kullanılan verinin doğrulanmaması
- Proses tehlike analizlerinde değerlendirilen tüm insan hatası başlatıcılarının değerlendirilmeye alınmaması
- Bağımsız koruma katmanı koruyucu bakım eksikliği
- Koruma katmanları ve başlatıcı olayların bağımlı olması
Belirtilen öğeler dışında kuruluş LOPA kuralları ve ülke mevzuatları kapsamında oluşturulacak kontrol formlarının işletme prosedürlerine eklenmesi önerilir.
SIL Doğrulama
LOPA Çalışması sonrasında hedeflenen frekans değeri ile yatıştırılmış olay frekansı karşılaştırılarak analizi gerçekleştirilen güvenlik enstrumanlı fonksiyonun (SIF) güvenlik bütünlük seviyesi (SIL) belirlenmiş olur. Belirlenen güvenlik bütünlük seviyesi ile kurulacak sistem mimarisinin uyumu için doğrulama çalışmaları gerçekleştirmek önemlidir. SIF’in hedef başarısızlık ölçüsünü veya SIL’i başaramadığı durumlarda, belirli faktörleri değiştirmenin etkisini göstermek için bir duyarlılık analizi yapılabilir.
Bu faktörler için aşağıdaki örneklerden faydalanılabilir;
- Bakım stratejisi
- Sistem mimarisi
- Arıza teşhis mekanizmalarının kurgulanması
- Ortak nedenli hata ihtimalinin azaltılmasına yönelik mühendislik çalışmaları
SIL Verifikasyon çalışmalarının gerçekleştirilebilmesi aşağıdaki bilgilere ihtiyaç duyulur;
- Doğrulaması yapılacak sisteme ait SIL gereksinim belirleme raporu
- SIL gereksiniminin belirlenmesi raporuna girdi olan proses tehlike analiz raporu
- Borulama ve enstrumantasyon diyagramı (P&ID)
- Sebep – Etki matrisi (Cause and Effect Matrix – C&EM)
- Interlock listesi ve konfigürasyonu
- Ekipman ve enstrümanlara ait güvenilirlik verisini içeren veri sayfaları
Fonksiyonel Güvenlik Değerlendirmesi (Functional Safety Assessment – FSA)
HSE UK tarafından hazırlanan “Why Control Systems Fail” başlıklı raporda kontrol sistemlerinin proses tasarımları itibariyle hangi fazlarda hata yaptığını istatistiksel olarak ortaya koymaktadır. Gerçekleştirilen çalışmada aşağıdaki grafik oluşturulmuştur;
Grafik incelendiğinde özellikle teknik gereksinimlerin yanlış belirlenmesi veya ihtiyaca yönelik tasarım sürecinde yapılan hatalar en yüksek oranda hataya yol açmaktadır. Fonksiyonel Güvenlik süreçleri SRS ile ihtiyaca göre doğru analizin gerçekleştirilmesi ile tasarım ve mühendislik çalışmalarında doğru iletişimin sağlanabilmesi için önemli bir rol oynamaktadır. Tasarım ile birlikte sistem güvenilirliğinin değerlendirilmesi için standardın da gereksinimi olarak Fonksiyonel Güvenlik Değerlendirmeleri (FSA) gerçekleştirilmektedir. FSA’in ne zaman, hangi kapsamda ve kimler tarafından gerçekleştirileceği tabloda verilmiştir.
FSA | Ne zaman? | Kim tarafından? | Hangi kapsamda? |
FSA-1 | SRS oluşturulduğunda |
Tesis yetkilisi PHA ve LOPA lideri FSE |
PHA raporu LOPA raporu SRS içeriği PSI dokümanları |
FSA-2 | Tasarım ve mühendislik çalışması sonrası |
Tesis yetkilisi Tasarım mühendisi FSE |
SIF tasarımı SIL validasyonu SRS gereksinimleri FAT raporu |
FSA-3 | PSSR ile birlikte |
PSSR ekibi FSE |
PHA aksiyonları SIS tasarımı ve validasyon raporları SIS sonrası üretilmesi ve revize edilmesi gereken dokümanlar Personel eğitimleri |
FSA-4 | Devreye alma sonrası her 1-3 yıllık periyotta |
Tesis yetkilisi FSE |
Proof test kayıtları SIF talepleri (metrikler) Arıza kayıtları |
FSA-5 | Değişim sürecinde |
Tesis yetkilisi MoC lideri FSE |
Değişimlerin MoC ye uygunluğu MoC kayıtları SIF – SIL – SIS verifikasyon ve validasyon gereksinimi |